La semana pasada, el equipo de Akido identificó un ataque único y sofisticado al ecosistema Java: un paquete malicioso publicado en Maven Central , disfrazado como una extensión legítima de la popular biblioteca Jackson JSON.
El paquete, llamado org.fasterxml.jackson.core/jackson-databind, imitaba el espacio de nombres de la biblioteca original ( com.fasterxml.jackson.core), una técnica conocida como typosquatting. Esta práctica aprovecha pequeñas variaciones en nombres de confianza para engañar a usuarios y desarrolladores. En este caso, la simple sustitución de com ¨con¨ org bastó para parecer legítimo a simple vista.
- Espacio de nombres falso:
org.fasterxm.jackson.core(el legítimo escom.fasterxml.jackson.core) - Dominio falso:
fasterxml.org(el legítimo esfasterxml.com)
El dominio
El dominio fastxml.org, creado para imitar a otro legítimo, se registró el 17 de diciembre de 2025, tan solo ocho días antes de que Aikido lo descubriera. Los datos de WHOIS indican que el registro se realizó a través de GoDaddy y se actualizó el 22 de diciembre, lo que indica la preparación activa de la infraestructura maliciosa en los días previos a su uso.
Este breve intervalo entre el registro del dominio y su uso efectivo es típico de las campañas de malware: los atacantes configuran la infraestructura poco antes de la operación para reducir las posibilidades de detección e inclusión en listas negras. Dado que la biblioteca legítima de Jackson lleva más de diez años utilizando el dominio fastxml.com, la variante.org se convierte en una forma sencilla y eficaz de suplantarlo, con un alto potencial de ganancias para los delincuentes.
¿Por qué esto importa?
Al añadir esta dependencia al archivo pom.xml, el desarrollador creyó usar una función segura. En realidad, estaba abriendo la puerta a un troyano descargador capaz de:
- Póngase en contacto con un servidor de comando y control (C2).
- Descargue y ejecute cargas útiles específicas para Windows, macOS y Linux.
- Establecer persistencia en el sistema.
Los binarios maliciosos fueron identificados como balizas Cobalt Strike , una herramienta comúnmente utilizada por grupos avanzados para control remoto, movimiento lateral y ataques dirigidos.
El peligro del typosquatting.
Este ataque es un ejemplo típico de cómo pequeñas diferencias pueden causar grandes problemas. Al igual que con los dominios falsos (fasterxml.org vs fasterxml.com), el intercambio de prefijos en los espacios de nombres de Java es una vulnerabilidad poco explotada, hasta ahora.
¿Cómo protegerse?
- Verifique cuidadosamente los espacios de nombres y los dominios antes de agregar dependencias.
- Utilice herramientas de análisis de seguridad para detectar paquetes sospechosos.
- Impulsar medidas preventivas en los repositorios, como detección de similitudes y verificación adicional para espacios de nombres populares.
El ecosistema Java siempre se ha considerado seguro contra ataques a la cadena de suministro, pero este incidente sirve como advertencia.
¿Quiere saber si su marca ya se utiliza en dominios sospechosos?
Soluciones como Observster le permiten identificar rápidamente registros potencialmente fraudulentos antes de que se conviertan en estafas o pérdidas reales. El primer paso para proteger su marca es la observación.
